← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • L'art. 5 elenca otto categorie di pratiche di IA assolutamente vietate, applicabili dal 2 febbraio 2025.
  • Il divieto copre tecniche subliminali e manipolative che distorcono il comportamento umano causando danno significativo, nonché lo sfruttamento delle vulnerabilità legate ad età, disabilità o situazione socioeconomica.
  • È vietato il social scoring da parte di soggetti pubblici: classificare persone in base al comportamento sociale con effetti pregiudizievoli cross-contesto.
  • È vietata la profilazione predittiva del rischio criminale basata esclusivamente su caratteristiche della personalità, senza fatti oggettivi verificabili.
  • È vietato lo scraping non mirato di immagini facciali per creare o ampliare database di riconoscimento facciale, nonché inferire le emozioni sul luogo di lavoro o a scuola.
  • L'identificazione biometrica remota in tempo reale in spazi pubblici è vietata per le forze dell'ordine, salvo eccezioni tassative soggette ad autorizzazione preventiva.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 5 Reg. (UE) 2024/1689 — Pratiche di IA vietate

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. Sono vietate le pratiche di IA seguenti:

a) l'immissione sul mercato, la messa in servizio o l'uso di un sistema di IA che utilizza tecniche subliminali che agiscono senza che una persona ne sia consapevole o tecniche volutamente manipolative o ingannevoli aventi lo scopo o l'effetto di distorcere materialmente il comportamento di una persona o di un gruppo di persone, pregiudicando in modo considerevole la loro capacità di prendere una decisione informata, inducendole pertanto a prendere una decisione che non avrebbero altrimenti preso, in un modo che provochi o possa ragionevolmente provocare a tale persona, a un'altra persona o a un gruppo di persone un danno significativo;

b) l'immissione sul mercato, la messa in servizio o l'uso di un sistema di IA che sfrutta le vulnerabilità di una persona fisica o di uno specifico gruppo di persone, dovute all'età, alla disabilità o a una specifica situazione sociale o economica, con l'obiettivo o l'effetto di distorcere materialmente il comportamento di tale persona o di una persona che appartiene a tale gruppo in un modo che provochi o possa ragionevolmente provocare a tale persona o a un'altra persona un danno significativo;

c) l'immissione sul mercato, la messa in servizio o l'uso di sistemi di IAper la valutazione o la classificazione delle persone fisiche o di gruppi di persone per un determinato periodo di tempo sulla base del loro comportamento sociale o di caratteristiche personali o della personalità note, inferite o previste, in cui il punteggio sociale così ottenuto comporti il verificarsi di uno o di entrambi gli scenari seguenti: i) un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di gruppi di persone in contesti sociali che non sono collegati ai contesti in cui i dati sono stati originariamente generati o raccolti; ii) un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di gruppi di persone che sia ingiustificato o sproporzionato rispetto al loro comportamento sociale o alla sua gravità; i) un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di gruppi di persone in contesti sociali che non sono collegati ai contesti in cui i dati sono stati originariamente generati o raccolti; ii) un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di gruppi di persone che sia ingiustificato o sproporzionato rispetto al loro comportamento sociale o alla sua gravità;

i) un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di gruppi di persone in contesti sociali che non sono collegati ai contesti in cui i dati sono stati originariamente generati o raccolti;

ii) un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di gruppi di persone che sia ingiustificato o sproporzionato rispetto al loro comportamento sociale o alla sua gravità;

d) l'immissione sul mercato, la messa in servizio per tale finalità specifica o l'uso di un sistema di IA per effettuare valutazioni del rischio relative a persone fisiche al fine di valutare o prevedere il rischio che una persona fisica commetta un reato, unicamente sulla base della profilazione di una persona fisica o della valutazione dei tratti e delle caratteristiche della personalità; tale divieto non si applica ai sistemi di IA utilizzati a sostegno della valutazione umana del coinvolgimento di una persona in un'attività criminosa, che si basa già su fatti oggettivi e verificabili direttamente connessi a un'attività criminosa;

e) l'immissione sul mercato, la messa in servizio per tale finalità specifica o l'uso di sistemi di IA che creano o ampliano le banche dati di riconoscimento facciale mediante scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso;

f) l'immissione sul mercato, la messa in servizio per tale finalità specifica o l'uso di sistemi di IA per inferire le emozioni di una persona fisica nell'ambito del luogo di lavoro e degli istituti di istruzione, tranne laddove l'uso del sistema di IA sia destinato a essere messo in funzione o immesso sul mercato per motivi medici o di sicurezza;

g) l'immissione sul mercato, la messa in servizio per tale finalità specifica o l'uso di sistemi di categorizzazione biometrica che classificano individualmente le persone fisiche sulla base dei loro dati biometrici per trarre deduzioni o inferenze in merito a razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale o orientamento sessuale; tale divieto non riguarda l'etichettatura o il filtraggio di set di dati biometrici acquisiti legalmente, come le immagini, sulla base di dati biometrici o della categorizzazione di dati biometrici nel settore delle attività di contrasto;

h) l'uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrastoa meno che, e nella misura in cui, tale uso sia strettamente necessario per uno degli obiettivi seguenti: i) la ricerca mirata di specifichevittime di sottrazione, tratta di esseri umani o sfruttamento sessuale di esseri umani, nonché la ricerca di persone scomparse; ii) la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l'incolumità fisica delle persone fisiche o di una minaccia reale e attuale o reale e prevedibile di un attacco terroristico; iii) lalocalizzazione o l'identificazione di una persona sospettata di aver commesso un reato, ai fini dello svolgimento di un'indagine penale, o dell'esercizio di un'azione penale o dell'esecuzione di una sanzione penale per i reati di cui all'allegato II, punibile nello Stato membro interessato con una pena o una misura di sicurezza privativa della libertà della durata massima di almeno quattro anni. i) la ricerca mirata di specifichevittime di sottrazione, tratta di esseri umani o sfruttamento sessuale di esseri umani, nonché la ricerca di persone scomparse; ii) la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l'incolumità fisica delle persone fisiche o di una minaccia reale e attuale o reale e prevedibile di un attacco terroristico; iii) lalocalizzazione o l'identificazione di una persona sospettata di aver commesso un reato, ai fini dello svolgimento di un'indagine penale, o dell'esercizio di un'azione penale o dell'esecuzione di una sanzione penale per i reati di cui all'allegato II, punibile nello Stato membro interessato con una pena o una misura di sicurezza privativa della libertà della durata massima di almeno quattro anni.

i) la ricerca mirata di specifichevittime di sottrazione, tratta di esseri umani o sfruttamento sessuale di esseri umani, nonché la ricerca di persone scomparse;

ii) la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l'incolumità fisica delle persone fisiche o di una minaccia reale e attuale o reale e prevedibile di un attacco terroristico;

iii) lalocalizzazione o l'identificazione di una persona sospettata di aver commesso un reato, ai fini dello svolgimento di un'indagine penale, o dell'esercizio di un'azione penale o dell'esecuzione di una sanzione penale per i reati di cui all'allegato II, punibile nello Stato membro interessato con una pena o una misura di sicurezza privativa della libertà della durata massima di almeno quattro anni.

La lettera h) del primo comma lascia impregiudicato l'articolo 9 del regolamento (UE) 2016/679 per quanto riguarda il trattamento dei dati biometrici a fini diversi dall'attività di contrasto.

2. L'uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto per uno qualsiasi degli obiettivi di cui al paragrafo 1, primo comma, lettera h), è applicato ai fini di cui a tale lettera, solo per confermare l'identità della persona specificamente interessata e tiene conto degli elementi seguenti:

a) la natura della situazione che dà luogo al possibile uso, in particolare la gravità, la probabilità e l'entità del danno che sarebbe causato in caso di mancato uso del sistema;

b) le conseguenze dell'uso del sistema per i diritti e le libertà di tutte le persone interessate, in particolare la gravità, la probabilità e l'entità di tali conseguenze.

L'uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto per uno qualsiasi degli obiettivi di cui al paragrafo 1, primo comma, lettera h), del presente articolo rispetta inoltre le tutele e le condizioni necessarie e proporzionate in relazione all'uso, conformemente al diritto nazionale che autorizza tale uso, in particolare per quanto riguarda le limitazioni temporali, geografiche e personali. L'uso del sistema di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico è autorizzato solo se l'autorità di contrasto ha completato una valutazione d'impatto sui diritti fondamentali come previsto all'articolo 27 e ha registrato il sistema nella banca dati UE conformemente all'articolo 49. Tuttavia, in situazioni di urgenza debitamente giustificate, è possibile iniziare a usare tali sistemi senza la registrazione nella banca dati dell'UE, a condizione che tale registrazione sia completata senza indebito ritardo.

3. Ai fini del paragrafo 1, primo comma, lettera h), e del paragrafo 2, ogniuso di un sistema di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto è subordinato a un'autorizzazione preventiva rilasciata da un'autorità giudiziaria oda un'autorità amministrativa indipendente, la cui decisione è vincolante, dello Stato membro in cui deve avvenire l'uso, rilasciata su richiesta motivata e in conformità delle regole dettagliate del diritto nazionale di cui al paragrafo 5. Tuttavia, in una situazione di urgenza debitamente giustificata, è possibile iniziare a usare il sistema senza autorizzazione a condizione che tale autorizzazione sia richiesta senza indebito ritardo, al più tardi entro 24 ore. Se tale autorizzazione è respinta, l'uso è interrotto con effetto immediato e tutti i dati nonché i risultati e gli output di tale uso sono immediatamente eliminati e cancellati. L'autorità giudiziaria competente o un'autorità amministrativa indipendente la cui decisione è vincolante rilascia l'autorizzazione solo se ha accertato, sulla base di prove oggettive o indicazioni chiare che le sono state presentate, che l'uso del sistema di identificazione biometrica remota «in tempo reale» in questione è necessario e proporzionato al conseguimento di uno degli obiettivi di cui al paragrafo 1, primo comma, lettera h), come indicato nella richiesta e, in particolare, rimane limitato a quanto strettamente necessario per quanto riguarda il periodo di tempo e l'ambito geografico e personale. Nel decidere in merito alla richiesta, tale autorità tiene conto degli elementi di cui al paragrafo 2. Nessuna decisione che produca effetti giuridici negativi su una persona può essere presa unicamente sulla base dell'output del sistema di identificazione biometrica remota «in tempo reale».

4. Fatto salvo il paragrafo 3, ogni uso di un sistema di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto è notificato alla pertinente autorità di vigilanza del mercato e all'autorità nazionale per la protezione dei dati conformemente alle regole nazionali di cui al paragrafo 5. La notifica contiene almeno le informazioni di cui al paragrafo 6 e non include dati operativi sensibili.

5. Uno Stato membro può decidere di prevedere la possibilità di autorizzare in tutto o in parte l'uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto, entro i limiti e alle condizioni di cui al paragrafo 1, primo comma, lettera h), e ai paragrafi 2 e 3. Gli Stati membri interessati stabiliscono nel proprio diritto nazionale le necessarie regole dettagliate per la richiesta, il rilascio, l'esercizio delle autorizzazioni di cui al paragrafo 3, nonché per le attività di controllo e comunicazione ad esse relative. Tali regole specificano inoltre per quali degli obiettivi elencati al paragrafo 1, primo comma, lettera h), compresi i reati di cui alla lettera h), punto iii), le autorità competenti possono essere autorizzate ad utilizzare tali sistemi a fini di attività di contrasto. Gli Stati membri notificano tali regole alla Commissione al più tardi 30 giorni dopo la loro adozione. Gli Stati membri possono introdurre, in conformità del diritto dell'Unione, disposizioni più restrittive sull'uso dei sistemi di identificazione biometrica remota.

6. Le autorità nazionali di vigilanza del mercato e le autorità nazionali per la protezione dei dati degli Stati membri cui è stato notificato l'uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto a norma del paragrafo 4, presentano alla Commissione relazioni annuali su tale uso. A tal fine, la Commissione fornisce agli Stati membri e alle autorità nazionali di vigilanza del mercato e di protezione dei dati un modello comprendente informazioni sul numero di decisioni che le autorità giudiziarie competenti, o un'autorità amministrativa indipendente la cui decisione è vincolante, hanno adottato in risposta alle richieste di autorizzazione a norma del paragrafo 3 e il loro esito.

7. La Commissione pubblica relazioni annuali sull'uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto, fondate sui dati aggregati negli Stati membri sulla base delle relazioni annuali di cui al paragrafo 6. Tali relazioni annuali non includono dati operativi sensibili delle relative attività di contrasto.

8. Il presente articolo lascia impregiudicati i divieti che si applicano qualora una pratica di IA violi altre disposizioni di diritto dell'Unione.

Stesso numero, altri codici

Commento

Il contesto normativo: perché esistono divieti assoluti nell'AI Act

Il Regolamento (UE) 2024/1689 — comunemente noto come «AI Act» — costruisce la propria architettura regolatoria attorno a una piramide del rischio: al vertice si trovano le pratiche così pericolose per i diritti fondamentali e i valori dell'Unione da essere vietate in assoluto, indipendentemente da qualsiasi valutazione di proporzionalità o utilità. L'art. 5 presidia questo vertice. Le otto pratiche vietate entreranno in vigore il 2 febbraio 2025, con sei mesi di anticipo rispetto alla maggior parte degli altri obblighi del regolamento, a conferma della loro priorità politica. Per fornitori e deployer, conoscere esattamente dove si trovano questi confini non è opzionale: una violazione espone alle sanzioni più gravi previste dall'art. 99.

Manipolazione subliminale e sfruttamento delle vulnerabilità (lettere a e b)

Le prime due fattispecie riguardano sistemi che distorcono materialmente il comportamento umano senza che la persona ne sia consapevole (lettera a) o sfruttando vulnerabilità specifiche — età, disabilità, situazione sociale o economica — di individui o gruppi (lettera b). Il requisito del «danno significativo» è cruciale: non ogni forma di personalizzazione algoritmica è vietata, ma solo quella che provoca o può ragionevolmente provocare un danno concreto alla persona o a terzi. Un sistema di raccomandazione che sfrutta l'impulsività cognitiva di adolescenti per indurre acquisti impulsivi dannosi, o un'app che utilizza tecniche di design persuasivo per far prendere decisioni finanziarie contrarie all'interesse di anziani in difficoltà economica, rientrano tipicamente in questa fattispecie. La distinzione rilevante per il fornitore è che il divieto si applica già nella fase di progettazione e immissione sul mercato: non è sufficiente che il deployer faccia un uso corretto del sistema se il sistema è stato progettato per manipolare. Il deployer, dal canto suo, non può mettere in servizio sistemi che sa o ha ragione di ritenere manipolativi.

Il divieto di social scoring (lettera c)

La lettera c) vieta i sistemi di valutazione sociale («social scoring»): sistemi che classificano persone fisiche o gruppi in base al comportamento sociale, a caratteristiche personali note, inferite o previste, quando tale punteggio produce trattamenti pregiudizievoli cross-contestuali o sproporzionati. La ratio è evitare che una valutazione effettuata in un contesto (ad esempio la puntualità nei pagamenti) produca effetti sfavorevoli in un contesto del tutto diverso (ad esempio l'accesso a un servizio pubblico), replicando dinamiche che in alcuni ordinamenti extraeuropei hanno già prodotto distorsioni sistemiche. Attenzione: il divieto riguarda i soggetti pubblici che agiscono con autorità. I sistemi di credit scoring privati, se rispettano i principi GDPR e non producono effetti cross-contestuali irragionevoli, possono continuare a operare, sebbene debbano essere valutati con attenzione alla luce dell'intero quadro normativo.

Profilazione predittiva del rischio criminale (lettera d)

È vietato usare sistemi di IA per valutare il rischio che una persona commetta un reato basandosi esclusivamente su profilazione o tratti della personalità, senza fatti oggettivi verificabili direttamente connessi a un'attività criminosa. La norma non vieta ogni strumento predittivo a supporto delle forze dell'ordine, ma traccia un confine netto: il sistema di IA non può essere l'unico o il principale fondamento di una valutazione di rischio criminale se non si basa su elementi fattuali concreti. Un sistema che valuta la probabilità di recidiva basandosi su dati demografici, comportamentali astratti o algoritmi addestrati su punteggi storicamente distorti cade nel divieto. Uno strumento che invece assiste un operatore umano nell'analisi di pattern fattuali già acquisiti in un'indagine specifica si colloca in una zona grigia che richiede valutazione caso per caso.

Banche dati biometriche da scraping, inferenza delle emozioni e categorizzazione biometrica (lettere e, f, g)

Tre ulteriori divieti presidiano l'integrità dei dati biometrici e la dignità della persona. La lettera e) vieta lo scraping non mirato di immagini facciali da internet o CCTV per costruire o ampliare database di riconoscimento facciale: è illecito creare «repository» biometrici su larga scala prelevando immagini senza consenso, indipendentemente dall'uso finale che si intende farne. La lettera f) vieta l'inferenza delle emozioni di lavoratori e studenti in contesti lavorativi e scolastici, salvo eccezioni mediche o di sicurezza: il monitoraggio emotivo nell'ambiente di lavoro, pur tecnicamente possibile, è considerato incompatibile con la dignità e la riservatezza. La lettera g) vieta i sistemi di categorizzazione biometrica che inferiscono razza, opinioni politiche, appartenenza sindacale, credenze religiose, vita sessuale o orientamento sessuale: trattandosi di categorie speciali di dati ai sensi dell'art. 9 GDPR, il legislatore europeo ha deciso di vietare non solo il trattamento, ma già la costruzione e il deployment di sistemi progettati per inferire tali attributi.

Identificazione biometrica remota in tempo reale in spazi pubblici (lettera h e paragrafi 2-7)

Il divieto più articolato — e più dibattuto in sede legislativa — riguarda l'uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi pubblici da parte delle forze dell'ordine. La regola generale è il divieto; le eccezioni sono tassative e richiedono:

  • Uno degli obiettivi tassativamente elencati: ricerca di vittime di crimini gravi o persone scomparse; prevenzione di minacce imminenti alla vita; localizzazione di sospettati di reati gravi puniti con pena detentiva massima di almeno quattro anni, compresi quelli elencati nell'allegato II.
  • Una autorizzazione preventiva da parte di un'autorità giudiziaria o amministrativa indipendente, vincolante, rilasciata su richiesta motivata. Nelle situazioni di urgenza, l'uso può iniziare prima dell'autorizzazione, ma questa deve essere richiesta entro 24 ore; in caso di rifiuto, il sistema deve essere spento e tutti i dati eliminati.
  • Il completamento di una valutazione d'impatto sui diritti fondamentali (art. 27) e la registrazione del sistema nella banca dati UE (art. 49), prima dell'uso; in urgenza, la registrazione deve avvenire senza indebito ritardo.
  • Notifica alle autorità di vigilanza del mercato e alle autorità per la protezione dei dati, con relazioni annuali alla Commissione.

Gli Stati membri possono introdurre disposizioni più restrittive. Non possono allargare le eccezioni oltre quanto previsto dal regolamento. Nessuna decisione con effetti giuridici negativi su una persona può basarsi esclusivamente sull'output del sistema.

Sanzioni e profili di rischio operativo per le imprese

Le violazioni dell'art. 5 sono le più sanzionate dell'intero regolamento. L'art. 99 prevede per queste infrazioni le sanzioni massime: i massimali esatti sono indicati nell'art. 99 stesso, con riferimento al fatturato mondiale annuo dell'impresa. Il rischio non è solo sanzionatorio in senso stretto: un'impresa che immette sul mercato un sistema che viola uno dei divieti dell'art. 5 si espone anche a responsabilità civili, a danni reputazionali e — nel caso di sistemi che trattano dati personali — a procedimenti paralleli da parte delle autorità per la protezione dei dati. Il raccordo con il GDPR è esplicito per i sistemi biometrici (il par. 1 richiama espressamente l'art. 9 del Regolamento 2016/679): un sistema che viola l'art. 5 AI Act quasi certamente viola anche il GDPR, con duplicazione delle esposizioni sanzionatorie.

Checklist operativa per fornitori e deployer

Prima di immettere sul mercato o mettere in servizio qualsiasi sistema di IA, è indispensabile verificare: (1) il sistema include tecniche di persuasione occulta o manipolazione? (2) sfrutta vulnerabilità specifiche di determinati gruppi? (3) produce punteggi o classificazioni sociali con effetti cross-contestuali? (4) valuta rischi criminali basandosi esclusivamente su profilazione? (5) raccoglie immagini biometriche in modo non mirato? (6) inferisce emozioni in contesti lavorativi o scolastici? (7) categorizza persone in base ad attributi sensibili? (8) effettua identificazione biometrica remota in tempo reale in spazi pubblici? Se la risposta a una di queste domande è affermativa, il sistema non può essere immesso sul mercato o messo in servizio nell'UE a partire dal 2 febbraio 2025, salvo rientrare nelle eccezioni tassativamente previste e rispettare tutte le condizioni procedurali associate.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Dal quando si applicano i divieti dell'art. 5 AI Act?

I divieti dell'art. 5 si applicano dal 2 febbraio 2025, ovvero sei mesi dopo l'entrata in vigore del regolamento (1° agosto 2024). È il primo blocco di norme del regolamento a diventare applicabile, a conferma della priorità politica attribuita all'eliminazione delle pratiche più pericolose.

Un sistema di raccomandazione che utilizza tecniche di personalizzazione avanzata viola il divieto di manipolazione subliminale?

Non necessariamente. Il divieto dell'art. 5, lett. a) richiede che la tecnica agisca senza che la persona ne sia consapevole (o sia volutamente ingannevole) e che causi o possa causare un danno significativo. Una tecnica di personalizzazione nota all'utente e che non provoca danni concreti non rientra nel divieto. È cruciale tuttavia valutare caso per caso, con attenzione alla categoria degli utenti esposti.

Le forze dell'ordine italiane possono usare il riconoscimento facciale in tempo reale in luoghi pubblici?

Sì, ma solo nel rispetto delle condizioni tassative dell'art. 5, par. 1, lett. h) e dei paragrafi successivi: finalità limitata ai casi elencati (vittime di reati gravi, minacce imminenti alla vita, reati puniti con pena massima almeno quadriennale), previa autorizzazione giudiziaria o di un'autorità amministrativa indipendente vincolante, completamento della valutazione d'impatto sui diritti fondamentali e registrazione nella banca dati UE. Lo Stato membro italiano deve inoltre adottare norme nazionali dettagliate.

Cosa rischia un fornitore che immette sul mercato un sistema vietato dall'art. 5?

L'art. 99 prevede per le violazioni dell'art. 5 le sanzioni più elevate dell'intero AI Act. I massimali specifici sono indicati nell'art. 99 del regolamento. Oltre alle sanzioni amministrative, il fornitore può essere esposto a responsabilità civili e — se il sistema tratta dati personali — a procedimenti paralleli delle autorità GDPR.

Un'impresa privata può costruire un sistema di rating reputazionale dei propri fornitori basato su dati comportamentali?

Il divieto di social scoring dell'art. 5, lett. c) è rivolto principalmente ai soggetti che operano con autorità pubblica e produce effetti pregiudizievoli cross-contestuali o sproporzionati. Un sistema di valutazione dei fornitori B2B, fondato su dati contrattuali rilevanti e usato nello stesso contesto contrattuale, si colloca in una zona diversa. Tuttavia, se il sistema classifica persone fisiche su base comportamentale e i risultati vengono usati in contesti diversi da quello originale, è necessaria un'analisi giuridica approfondita.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.